通过OPENSSL建立证书以及CSR证书签名过程

最新推荐文章于 2024-02-22 15:54:33 发布
最新推荐文章于 2024-02-22 15:54:33 发布
阅读量4.3k 收藏 1
点赞数 1
分类专栏: 网络安全
CSR证书签名过程:
1。用户先拥有一个自己的密钥
openssl genrsa -des3 -out my.key 1024
建立密钥,以为1024位加密。

2。通过密钥建立自己的CSR文件,其中cnf文件为配置文件,openssl也自带cnf文件
openssl req -new -config my.cnf -key my.key -out my.csr
建立csr文件
cnf举例:
 
[req] default_bits=1024 distinguished_name=req_distinguished_name prompt=no string_mask=nombstr req_extensions=v3_req [req_distinguished_name] CN=fin1983@hotmail.com [v3_req] nsCertType=server,client basicConstraints=critical,CA:false


============之后为服务器要做的事=========
3。提交给服务器签名生成证书
openssl ca -batch -config ca.cnf -key 123456 -in my.csr -out my.crt
123456假设为根证书的密码
ca.cnf举例:
 
[ca] default_ca=default_CA [default_CA] dir=/tmp/sslPath certs=/tmp/sslPath new_certs_dir=/tmp/sslPath database=/tmp/sslPath/dbfile serial=/tmp/sslPath/serialfile certificate=/tmp/sslPath/rootcrtfile private_key=/tmp/sslPath/rootkeyfile default_crl_days=30 default_startdate=070307000000Z default_enddate=371231000000Z default_md=md5 preserve=yes x509_extensions=user_cert policy=policy_anything crl_extensions=crl_ext [policy_anything] commonName=supplied [user_cert] subjectAltName=email:copy basicConstraints=critical,CA:false

预先在sslPath目录下建立dbfile,serialfile,rootcrtfile以及rootkeyfile
dbfile 空
serialfile 自定义,随意设个数字,例如21
rootcrtfile 服务端证书
rootkeyfile 服务端密钥

===============如果csr与私钥在客户端,则此过程无法在服务器端完成========
4。生成PKCS12文件。
openssl pkcs12 -export -in my.crt -inkey my.key -password pass:$userpass -out my.pfx
$userpass为证书的密码保护,可有可无。


另,签名csr文件时似乎不能重复签名。在配置里需要做一点改动,否则会失败。例如serial必须保证unique等等

补充一些文件格式:
在Security编程中,有几种典型的密码交换信息文件格式:
DER-encoded certificate: .cer, .crt
PEM-encoded message: .pem
PKCS#12 Personal Information Exchange: .pfx, .p12
PKCS#10 Certification Request: .p10
PKCS#7 cert request response: .p7r
PKCS#7 binary message: .p7b

.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式
p10是证书请求
p7r是CA对证书请求的回复,只用于导入
p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥

算法
base64不是加密算法,但也是SSL经常使用的一种算法,它是编码方式,用来把asc码和二进制码转来转去的。

openssl x509部分命令
打印出证书的内容:
openssl x509 -in cert.pem -noout -text
打印出证书的系列号
openssl x509 -in cert.pem -noout -serial
打印出证书的拥有者名字
openssl x509 -in cert.pem -noout -subject
以RFC2253规定的格式打印出证书的拥有者名字
openssl x509 -in cert.pem -noout -subject -nameopt RFC2253
在支持UTF8的终端一行过打印出证书的拥有者名字
openssl x509 -in cert.pem -noout -subject -nameopt oneline -nameopt -escmsb
打印出证书的MD5特征参数
openssl x509 -in cert.pem -noout -fingerprint
打印出证书的SHA特征参数
openssl x509 -sha1 -in cert.pem -noout -fingerprint
把PEM格式的证书转化成DER格式
openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER
把一个证书转化成CSR
openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem
给一个CSR进行处理,颁发字签名证书,增加CA扩展项
openssl x509 -req -in careq.pem -extfile openssl.cnf -extensions v3_ca -signkey key.pem -out cacert.pem
给一个CSR签名,增加用户证书扩展项
openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr -CA cacert.pem -CAkey key.pem -CAcreateserial

查看csr文件细节:
openssl req -in my.csr -noout -text
赵健乔
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl签名证书命令
07-09
https目前广泛流行,现提供openssl签名证书的命令和基本验证命令。
在进行网站SSL验证时申请CSR(证书签名请求)
andy1219111的专栏
06-23 7822
最近在给自己公司的网站进行SSL验证的设置,对于证书的购买问题,在这里就不多说了,请参考该文章,
openssl证书生成和管理 证书签名请求(CSR)的创建、自签名证书或CA签名证书的生成,以及证书内容的查看 生成自签名的根证书颁发机构(CA)的密钥和证书 TLS/SSL双向认证 证书格式
chenhao0568的专栏
02-22 1357
使用OpenSSL生成证书过程实质上是创建一对密钥(公钥和私钥),并通过CSR将公钥及其关联的身份信息提交给CA进行签名。在自签名的场景,持有私钥的实体自己充当CA的角色,直接对证书进行签名。这个过程确保了证书的公钥可以被信任,因为它是由一个可信的实体(CA或证书的持有者本人)签名的。自签名证书虽然在某些用途(如内部测试)非常有用,但它们没有由公认的CA签发的证书那样的广泛信任度。在公开或商业环境,通常会从一个公认的CA处购买证书。信任链。
关于SSL证书生成解决方案
免费SSL证书
03-21 1217
SSL是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL广泛支持各种类型的网络,同时提供三种基本的安全服务,它们都使用公开密钥技术。 SSL证书包括: 1,CA证书,也叫根证书或者间级证书。如果是单向https认证的话,该证书是可选的。不安装CA证书的话,浏览器默认是不安全的。 2,服务器证书,必选项。通过key,证书请...
什麼是證書籤名請求 (CSR)
lavin1614
09-20 261
在數字安全領域,證書籤名請求 (CSR) 是保護 Web 流量的重要組成部分。如果您想建立網站或在線服務,您需要生成 CSR 並將其提交給證書頒發機構 (CA)。本文將解釋什麼是 CSR,它包含什麼信息,以及如何生成它。
SSL基础:16:非交互方式生成CSR证书签名文件
知行合一 止于至善
12-13 1219
这篇文章介绍一下CSR证书请求文件交互方式和非交互方式的生成方法。
证书体系: CSR 解析
Useless Programmer 的专栏
10-16 9562
原文同时发布于本人个人博客: https//kutank.com/blog/cert-csr/ 简介 CSR 全称 “证书签名请求”(Certificate Signing Request). 本文我们将来详细的学习 CSR 的知识,重点集CSR 所包含的信息,及其意义。 CSR 的作用: CSR 通常由想要获得 X.509 证书的实体(entity) 创建,然后提交给 CA (Certificate Authority), CA 使用它来为实体创建对应的 X.509 证书. CSR 组.
摘要签名、加密、证书的基本原理和理解
李云龙的意大利面
11-14 2162
加解密,摘要,信息可靠传输
密码学学习笔记五:加密、摘要、数字签名以及CA认证
Candy链上笔记
05-25 1423
加密、摘要、数字签名以及CA认证   在讲单向散列函数之前,先说一下加密、摘要、数字签名以及CA认证之间的关系。 加密   接之前讲的RSA加密算法,Alice有两把钥匙,一把公钥,一把私钥,Alice把公钥(绿色的钥匙)给了Bob,私钥(橙色的钥匙)在自己手里。Bob给Alice发消息,用Alice的公钥加密,Alice收到之后,用自己的私钥解密,就能看到消息。这个就是加密的过程。  ...
使用OpenSSL创建CA根证书及自签名
Brant Jobs的『作坊』 ㊣
01-21 5733
系统:Ubuntu 12.04 LTS (amd64) 软件:OpenSSL 安装:$ sudo apt-get install openssl openssl.cnf路径:/etc/ssl/openssl.cnf 步骤: 1、准备!创建工作目录,并将openssl.cnf复制到工作目录。 ~$ mkdir ~/ssl ~/ssl$ mkdir ~/ssl/demoCA
openssl签名ca证书,以及签发服务端/客户端证书
bglmmz的专栏
10-26 2421
网上由很多,但是感觉操作比较复杂,有些签发的证书不可用。现在介绍简单方法。假设已经安装了openssl,已有sudo权限。已经建立路径:/ope/ca,所有操作都在此路径下进行。 1. 准备工作,由于我们签发的证书,不一定用于有域名的情况,而且服务端可能部署于任何Ip地址,所以,要准备一个证书的扩展配置,文件命为:server-ext.cnf,用echo命令直接生成此文件,命令行: echo "subjectAltName=DNS:*.demo.com,IP:0.0.0.0" > server-
使用openssl生成自签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
使用openssl 生成免费证书的方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么?...因为在网络传输的过程,网络的数据肯定要经过wifi路由器对吧,那么我们通过路由器做些手脚我们就可以拿到数据,因此openssl的作用就是避免信息
OpenSSL证书创建工具(最小绿色压缩包,含配置文件)
05-26
OpenSSL证书创建工具,用于证书创建、自签名等。 仅提取了openssl.exe、必须的2个DLL以及配置文件,直接解压后即可使用。 可参考我的博客《使用OpenSSL创建自签名证书》查看使用方法。
openssl生成证书
12-27
使用openssl生成证书,有详细的步骤说明,亲测可用。还有一些关于证书的一些常用转换操作介绍
2024-2030全球及国PCB接触式探头行业研究及十五五规划分析报告.docx
04-18
2024-2030全球及国PCB接触式探头行业研究及十五五规划分析报告
网站界面设计mortal0418代码
04-18
网站界面设计mortal0418代码
PHP毕业设计-校园失物招领系统源码+数据库.zip
04-18
PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可
2024年神经酸行业分析报告.pptx
最新发布
04-18
2024年神经酸行业分析报告.pptx
如何利用OPENSSL验证证书签名
04-19
首先,需要用 OPENSSL 的命令行工具生成一个证书请求(CSR),并且在生成 CSR 的时候需要指定私钥,生成 CSR 的命令如下: ```bash openssl req -new -key privateKey.key -out certificate.csr ``` 其 privateKey.key 是私钥,certificate.csr 是生成的 CSR 文件。 然后,需要将 CSR 文件发送给证书颁发机构(CA)申请证书,CA 会根据 CSR 文件生成一份证书,并将证书通过邮件等方式发送给申请者。 在接收到证书之后,需要使用 OPENSSL 来验证证书签名是否正确。验证证书签名的命令如下: ```bash openssl verify -verbose -CAfile ca-bundle.crt certificate.crt ``` 其 ca-bundle.crt 是证书链,certificate.crt 是证书文件。 如果验证成功,命令行会输出 certificate.crt: OK,表示证书签名验证成功。如果验证失败,则证书存在问题,需要检查证书链或联系证书颁发机构重新颁发证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值